Un vieux bug dans iOS WebView génère un flot d’appels

Les développeurs ayant intégré WebView d’Apple dans leurs applications mobiles ont du souci à se faire. Un chercheur, Collin Mulliner a exhumé une faille relativement facile à exploiter via une ligne de code HTML avec, comme conséquence, de générer des flots d’appels depuis un iPhone. Le risque de ce bug est de servir de vecteur d’appels vers des numéros premium ou, pire, pour des attaques par déni de service. La semaine dernière un jeune hacker avait montré sur YouTube une méthode pour saturer le numéro d’urgence américain, le 911.

Pour le spécialiste, des applications comme Twitter ou LinkedIn sont vulnérables à ce type d’attaque, mais pas Facebook, WhatsApp, Snapchat et Yelp. Cependant le chercheur met en garde sur le fait qu’il existe « des tonnes de messageries et des applications de médias sociaux qui sont potentiellement vulnérables ». Et d’expliquer, « toutes les applications comprenant WebView où une URL peut être chargée et soumise par un utilisateur sont exposées. C’est assez simple et tout le monde peut le faire ».

L’expert a dévoilé sa façon de procéder après avoir notifié le problème à Twitter. Interpellé, ce dernier a considéré que ce sujet avait déjà été traité. De même, il a soumis sa découverte au bug bounty de LinkedIn, mais il s’agit d’un programme privé. Le réseau social va toutefois enquêter sur ce bug. Tout comme Apple sollicité et qui va se pencher sur le problème. Paradoxalement, dans sa recherche, Collin Mulliner s’est appuyé sur une faille datant de 2008 qu’il avait déjà soumis à Twitter à l’époque. Il constate avec effroi que ce bug fonctionne toujours. Pas besoin de grands artifices, il suffit d’envoyer un lien à la victime pour le guider vers un site contenant le code HTML de l’attaquant. Ce code comprend une dizaine de lignes. Ce système peut être automatisé pour appeler plusieurs fois, plusieurs numéros.

iOS 10 : les sauvegardes sont à la portée des hackers